Στις 11 Ιουνίου, φάνηκε ότι ο κάτοικος της Καλιφόρνια Richard Yuan Li κατηγορήθηκε για συνωμοσία για διάπραξη απάτης για τον ρόλο του σε διάφορες επιθέσεις ανταλλαγής SIM που στοχεύουν τουλάχιστον 20 άτομα. Όχι μόνο αυτό, αλλά ως μέρος του περίπλοκου προγράμματος εξαπάτησης χρημάτων του, προσπάθησε επίσης να εκβιάσει 100 Bitcoin (BTC) από έναν άγνωστο γιατρό σε αντάλλαγμα για την αποφυγή της απελευθέρωσής τους από τις ιδιωτικές, ευαίσθητες πληροφορίες.
Σύμφωνα με πολλές αναφορές, οι άθλιες πράξεις του Λι μπορούν να ανιχνευθούν μέχρι το 2018 – και διαρκούν μέχρι τα μέσα του 2019 – όταν μαζί με μια ομάδα συνωμότων προσπάθησαν να εξαπατήσουν πολλά ανυποψίαστα άτομα που είχαν κερδίσει τις οικονομίες τους χρησιμοποιώντας SIM ανταλλαγές επιθέσεων. Από αυτήν την άποψη, μια ανταλλαγή SIM συνεπάγεται την αναδρομολόγηση της κάρτας SIM ενός ατόμου σε ένα τηλέφωνο που κατέχει ένας χάκερ, επιτρέποντάς τους έτσι να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες ενός ατόμου, όπως μηνύματα ηλεκτρονικού ταχυδρομείου, στοιχεία τραπεζικού λογαριασμού, πορτοφόλι κρυπτογράφησης κ.λπ..
Επιπλέον, κατά τη διάρκεια των τελευταίων ετών, οι επιθέσεις ανταλλαγής SIM έχουν δει μια δραματική άνοδο. Για παράδειγμα, τον Μάιο του 2018, ο επενδυτής κρυπτογράφησης Μάικλ Τέρπιν έπεσε θύμα επίθεσης ανταλλαγής SIM αξίας 23,8 εκατομμυρίων δολαρίων, η οποία διαπράχθηκε από την 18χρονη Έλις Πίνσκι από το Ίρβινγκτον της Νέας Υόρκης. Ομοίως, ο επενδυτής και ο δύο φορές βραβευμένος με Emmy Seth Shapiro κατέθεσαν αγωγή εναντίον του αμερικανικού γίγαντα τηλεπικοινωνιών AT&Ο Τ, ισχυριζόμενος ότι οι υπάλληλοι της εταιρείας είχαν υπερισχύσει ενός κακόβουλου συστήματος ανταλλαγής SIM που είχε ως αποτέλεσμα να χάσει 1,8 εκατομμύρια δολάρια σε διάφορα περιουσιακά στοιχεία κρυπτογράφησης.
Ανταλλαγή SIM λόγω κακών πρωτοκόλλων επαλήθευσης ταυτότητας?
Η ανταλλαγή SIM έχει γίνει μια σημαντική απειλή για χρήστες μεγάλων δικτύων στις Ηνωμένες Πολιτείες, ειδικά καθώς όλο και περισσότερα άτομα αρχίζουν να βασίζονται στις φορητές συσκευές τους για να λειτουργούν εξ αποστάσεως. Από την άποψη αυτή, ένας μεγάλος αριθμός Αμερικανών έχουν κλαπεί από τη ζωή τους τα αποταμιεύματά τους και τα πολύτιμα δεδομένα τους αποκλειστικά επειδή οι φορείς εκμετάλλευσης κινητής τηλεφωνίας φαίνεται ότι δεν λαμβάνουν εύλογα μέτρα για να αποτρέψουν τους υπαλλήλους τους να συνωμοτούν επανειλημμένα με εγκληματίες χάκερ.
Σε αυτό το πλαίσιο, ο John Pierce, δικηγόρος της δίκης και ο παγκόσμιος συνεργάτης της Pierce Bainbridge, δήλωσε στο Cointelegraph ότι ενώ αρχίζουν να διεξάγονται ποινικές διώξεις, η λογοδοσία σε αστικές υποθέσεις είναι απολύτως ζωτικής σημασίας για την αποτροπή αυτού του είδους παραπτώματος. Όχι μόνο αυτό, πιστεύει επίσης ότι απαιτείται σημαντική μεταρρύθμιση στις πρακτικές ασφάλειας δεδομένων από την πλευρά των περισσότερων παρόχων υπηρεσιών κινητής τηλεφωνίας.
Για να αποκτήσει μια πιο εις βάθος κατανόηση του γιατί τα περιστατικά που σχετίζονται με την ανταλλαγή SIM έχουν αυξηθεί απότομα τα τελευταία τρία έως τέσσερα χρόνια, ο Cointelegraph επικοινωνούσε με τον Mark Grabowski, αναπληρωτή καθηγητή κυβερνο-νόμου στο Πανεπιστήμιο Adelphi, καθώς και τακτικός αρθρογράφος για ο εξεταστής της Ουάσιγκτον. Κατά την άποψή του, ο λόγος είναι ότι οι άνθρωποι χρησιμοποιούν τώρα τα smartphone τους για να διευκολύνουν τις καθημερινές ψηφιακές δραστηριότητές τους παρά τους προσωπικούς υπολογιστές, οι οποίοι είναι πολύ πιο ασφαλείς. Αυτός πρόσθεσε:
«Εκτός από τη μόλυνση των smartphone με κακόβουλο λογισμικό, οι εγκληματίες πλαστογραφούν παράνομα τους αριθμούς τηλεφώνου των χρηστών (πλαστογραφούν τον αριθμό από μια εισερχόμενη κλήση), μεταφέρουν τους αριθμούς τους (μετακίνηση του αριθμού από το τηλέφωνο ενός χρήστη σε άλλο τηλέφωνο που ελέγχεται από τον εγκληματία) και ακόμη και κλωνοποίηση καρτών SIM, τα τσιπ υπολογιστή που αναγνωρίζουν ένα τηλέφωνο, για πρόσβαση στα δεδομένα των χρηστών και κλέβουν χρήματα. “
Ενώ ο ομοσπονδιακός νόμος περί προστασίας των ασύρματων τηλεφώνων του 1998 προστατεύει τους πελάτες από την κοινή χρήση των προσωπικών τους δεδομένων με πηγές τρίτων, ο Grabowski έκρινε ότι τα χαλαρά πρωτόκολλα επαλήθευσης ταυτότητας που χρησιμοποιούνται από τους περισσότερους παρόχους κινητής τηλεφωνίας αυτές τις μέρες κάνουν τους πελάτες ευάλωτους σε μια ποικιλία διαφορετικών απόπειρες χακαρίσματος.
Νωρίτερα φέτος, αρκετά μέλη του Κογκρέσου έστειλαν επιστολή στην Ομοσπονδιακή Επιτροπή Επικοινωνιών, προτρέποντάς της να δώσει εντολή ότι οι ασύρματοι πάροχοι παρέχουν ισχυρότερη προστασία στους πελάτες για να κλειδώσουν πραγματικά τους λογαριασμούς τους, όπως η επίσκεψη προσωπικού σε κατάστημα πριν από έναν αριθμό τηλεφώνου μπορεί να μεταφερθεί σε άλλη συσκευή ή φορέα.
Οι πάροχοι κινητών τηλεφώνων πρέπει να ανεβούν?
Η κυβερνοασφάλεια είναι ένας συνεχώς εξελισσόμενος τομέας στον οποίο οι εισβολείς επιδιώκουν συνεχώς να τροποποιούν τα gameplans τους προκειμένου να συμβαδίζουν με τις τελευταίες τάσεις. Για παράδειγμα, οι χάκερ κάποτε χρησιμοποιούσαν μηνύματα SMS για να αποκτήσουν πρόσβαση στα κινητά τηλέφωνα ατόμων, επιτίθενται στο πρωτόκολλο επικοινωνίας του συστήματος σηματοδότησης αριθ. 7 ή SS7. Τώρα, οι χάκερ έχουν γίνει πιο εξελιγμένοι με τους τρόπους τους και έχουν μάθει πώς να σπάνε τους κωδικούς πρόσβασης χρησιμοποιώντας μια ποικιλία διαφορετικών μέσων. Ως αποτέλεσμα, πολλές εταιρείες ανταποκρίθηκαν προσθέτοντας πρωτόκολλα ελέγχου ταυτότητας δύο παραγόντων για να ενισχύσουν την ασφάλειά τους.
Μιλώντας για το πόσο εύκολο είναι για τους κακοποιούς να πραγματοποιήσουν επίθεση ανταλλαγής SIM, ο Mark Herschberg, εκπαιδευτής στο Ινστιτούτο Τεχνολογίας της Μασαχουσέτης, καθώς και επικεφαλής της τεχνολογίας της εταιρείας ασφάλειας στον κυβερνοχώρο Averon, δήλωσε στο Cointelegraph ότι ενώ η έναρξη μιας τέτοιας επίθεσης σίγουρα δεν είναι εύκολη , αν το πορτοφόλι έχει αρκετή αξία σε αυτό, τότε αξίζει τον κόπο για τους χάκερ, προσθέτοντας: «Οι επιτιθέμενοι είναι πολύ αποτελεσματικοί στην εύρεση της βέλτιστης προσπάθειας για επιβράβευση προσεγγίσεων».
Επιπλέον, μιλώντας για τρόπους με τους οποίους αυτό το αυξανόμενο ζήτημα μπορεί να αντιμετωπιστεί με επιτυχία, ο Herschberg επεσήμανε ότι υπάρχουν νεότερες τεχνολογίες που επιτρέπουν την αθόρυβη πιστοποίηση 2FA χωρίς καμία ενέργεια εκ μέρους του χρήστη. Κατά την άποψή του, αυτή η μέθοδος είναι πιο ασφαλής και μπορεί να βοηθήσει στον εντοπισμό της ανταλλαγής SIM πιο αποτελεσματικά – επιτρέποντας έτσι σε μια συναλλαγή να επισημανθεί από έναν χειριστή δικτύου εάν έχει αλλάξει πρόσφατα μια κάρτα SIM.
Μάχη με AT&Οργίζεται
Σε μια από τις πιο ευρέως καλυμμένες υποθέσεις δικαστικής ανταλλαγής SIM, ένας δικαστής των ΗΠΑ εξέδωσε απόφαση στις 20 Μαΐου, απορρίπτοντας την AT&Η προσπάθεια να απορρίψει την αγωγή του Shapiro με την οποία ισχυρίζεται ότι η εταιρεία ενήργησε με εξαιρετικά αμελή τρόπο και απέτυχε να αποτρέψει τους κακοποιούς από το δρόμο τους με κρυπτογράφηση αξίας 1,8 εκατομμυρίων $ Σε μια συνομιλία με τον Cointelegraph, ο Shapiro δήλωσε:
«Δεν ισχυριζόμαστε απλώς ότι αυτό το AT&Οι υπάλληλοι εμπλέκονταν στην κλοπή μου: ονομάστηκαν από το Υπουργείο Δικαιοσύνης κατηγορούμενοι από μια υπόθεση του Υπουργείου Εσωτερικής Ασφάλειας (US κατά Freeman). Έτσι, η ομοσπονδιακή κυβέρνηση έχει ήδη αποδείξει ότι το AT&Οι υπάλληλοι Τ κλέβουν από τους πελάτες του. “
Επιπλέον, αξίζει να αναφερθεί ότι στο παρελθόν, η AT&Ο Τ έχει παραδώσει μια σειρά από σημαντικές ήττες σε περιπτώσεις πολύ παρόμοιες με αυτές του Shapiro. Το 2018, για παράδειγμα, ο κάτοικος της Καλιφόρνια Robert Ross έχασε κρυπτογράφηση αξίας 1 εκατομμυρίου δολαρίων, αφού ένας χάκερ μπόρεσε να αποκτήσει τον έλεγχο του AT του&Τηλέφωνο. Ομοίως, ο κάτοικος της Βόρειας Καρολίνας Τζέισον Γουίλιαμς ήταν επίσης στο τέλος της μεγάλης επίθεσης ανταλλαγής SIM στην οποία χαμένος το μεγαλύτερο μέρος της εξοικονόμησης κρυπτογράφησής του.
Αναλύοντας πώς οι διαχειριστές δικτύου προσπαθούν να εκτρέψουν την ευθύνη όταν πρόκειται για τέτοια περιστατικά ανταλλαγής SIM, ο Shapiro πρόσθεσε ότι εδώ και χρόνια, παίκτες μεγάλων ονομάτων όπως η AT&Η T επέτρεψε στους υπαλλήλους της να καταστρέψουν τις ζωές των πελατών της – υποβάλλοντας τους σε κλοπή, εκβιασμό και άλλα μεγάλα εγκλήματα – αντί να αναλάβουν δράση για την επίλυση τέτοιων προβλημάτων:&T υπάλληλοι στην περίπτωσή μου. Μόνο εκείνο τον μήνα, ένα από αυτά τα AT&Οι υπάλληλοι T διέπραξαν 29 παράνομες ανταλλαγές SIM. ο άλλος δεσμεύτηκε τουλάχιστον 12 και AT&Δεν έκανε τίποτα για να τους σταματήσει. “
Σχολιάζοντας το θέμα, ο Πιρς είπε ότι το AT&Η T προσπάθησε να εστιάσει την ευθύνη στους χάκερ που συνεργάστηκαν με την AT&Οι υπάλληλοι για να πραγματοποιήσουν επιθέσεις και να υποτιμήσουν τη σχέση μεταξύ του ελέγχου του αριθμού κινητού τηλεφώνου του θύματος και της δυνατότητας πρόσβασης στους λογαριασμούς του θύματος μέσω ελέγχου ταυτότητας δύο παραγόντων:
“ΣΤΟ&Η πρόταση για απόρριψη της αγωγής του κ. Shapiro ισχυρίστηκε ότι οι ισχυρισμοί του κ. Shapiro δεν πληρούσαν διάφορες τεχνικές νομικές απαιτήσεις για να αποδείξουν νομικά αναγνωρίσιμες αξιώσεις εναντίον της – οι περισσότερες από τις οποίες το δικαστήριο απέρριψε αποφασιστικά. Το δικαστήριο του κ. Shapiro εντάσσεται τώρα σε μια αυξανόμενη χορωδία άλλων ομοσπονδιακών δικαστηρίων που έχουν επιτρέψει αστικές αγωγές από τα θύματα ανταλλαγής SIM να προχωρήσουν κατά της AT&Τ. “
Πραγματοποίηση κλήσης
Ενώ μερικοί προτείνω ότι αυτή η πρόσφατη αύξηση των περιστατικών ανταλλαγής SIM θα μπορούσε να συνδεθεί άμεσα με την επιθυμία των μαζών να υιοθετήσουν κρυπτονομίσματα, φαίνεται ότι δεν υπάρχουν αρκετά διαθέσιμα στοιχεία που να υποστηρίζουν αυτόν τον συσχετισμό. Για παράδειγμα, όπως και με τις επιθέσεις ransomware, η ανταλλαγή SIM παρέχει απλώς στους χάκερ έναν άλλο δρόμο για να χτυπήσουν μια μεγάλη ημέρα πληρωμής.
Ωστόσο, αυτό που πρέπει να γίνει κατανοητό είναι ότι για να αποφευχθεί η συνηθισμένη επίθεση ανταλλαγής SIM, οι χρήστες κινητών τηλεφώνων πρέπει να καταλάβουν πιο τεχνικά καταλαβαίνω και να υιοθετήσουν πρωτόκολλα απορρήτου, όπως “κωδικοί δύο παραγόντων εκτός σύνδεσης” που μπορούν να επιτρέψουν στους χρήστες να πραγματοποιούν ελέγχους επαλήθευσης χωρίς αυτούς πρέπει να βασίζονται στον φορέα κινητής τηλεφωνίας τους. Μια ακόμη καλύτερη εναλλακτική λύση θα μπορούσε να είναι η χρήση ενός κλειδιού φυσικής ασφάλειας, το οποίο θα καθιστούσε σχεδόν αδύνατο για τους βιαστές να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα ενός ατόμου.